出版日期：2004-02-09　总期号：1286　本年期号：07

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 华东专刊

WAN\MAN\LAN一起抓 湘潭电业局统筹建设完整网络 耿春江、夏晓霖 　　湖南省湘潭电业局采用思科网络产品组建了一个覆盖全局的高性能信息网络， 　　实现全局、各县局之间的资源共享， 　　同时为湘潭电力数据中心的建立奠定了基础。 　　湖南省湘潭电业局要求，建立覆盖全局电力系统的数字信息网络，把电力信息化提高到一个新水平，以适应国民经济的发展和企业本身管理的需要，切实提高电力企业的服务质量和水平，实现企业资源的共享。 　　将网络延伸到变电站 　　根据湘潭电业局（各主要汇接点之间的距离都少于60公里）的实际情况，湘潭电业局确定网络建设的目标是：建立一个以湘潭电业局新调度大楼信息中心为核心，湘潭电力城域环网为主体，高带宽、全交换、高性能、可扩展性好、覆盖整个湘潭电业局范围的新型多层交换网络系统。主干采用千兆网技术，并利用先进的多层交换和VLAN技术实施网络安全策略和流量划分，有效提高网络带宽，同时通过网络管理系统对全网实施有效监控和管理，为湘潭电业局计算机应用系统提供一个高效、稳定、安全、先进的网络支撑平台。网络系统将连接老局办公区、各个县电力局、基层单位、变电站和家庭宿舍小区，组建湘潭电业局信息网络，并通过统一的出口，访问省公司和Internet资源。 　　分层结构建局域网 　　局域网建设包括新调度大楼及其附属楼房的网络建设，三个县局（湘潭县局、湘乡局、韶山局）、两个高压管理所（湘潭高管所、湘乡高管所）的网络建设以及老办公区的网络建设。其中，新调度大楼的网络是整个企业网的核心和重中之重。同时在老办公区建立一个网络分中心机房，作为将来采用设备容灾等措施的备用机房。 　　为便于网络管理，优化网络性能，增强网络的扩展性，湘潭电业局电力信息网络采用层次化网络体系，整个网络分为核心层、汇接层和接入层三层结构。 　　核心层采用千兆与多层交换技术，汇接层通过千兆或百兆接入到核心层，接入层通过百兆接入到汇接层，10/100M到桌面。 　　在实际的网络建设中，上述三个层次的划分也不是绝对的。例如，在新调度大楼，基本上是由汇接层同时承担了接入层的工作，而在其他一些单位（如远程节点单位），其汇接层本身就有多级连接。 信息网络示意图如图1所示。 　　核心层：新电力调度大楼中心机房（位于信息中心）配置两台专门为千兆网设计的背板交换容量为256G的Cisco 6509中心交换机（目前配置一台）。两台中心交换机之间采用Cisco GEC技术（Gigabit EtherChannel）以两条千兆链路相连，提供高达4G的无阻塞通道。两者间既互为备份，又均衡负载。每台6509中心交换机配置两个16口千兆模块，其中，28个端口用于以双链路的方式，下连新大楼楼层交换机，千兆端口用于小型机关键服务器与中心交换机高速连接（第一期不考虑冗余，配置一个16口千兆模块）；配置一个48端口10/100以太网模块，用于连接业务服务器和高速工作站，剩余端口通过光纤收发器连接各机构。从安全可靠性考虑，中心交换机配置双电源。 　　汇接层：包括新调度大楼各个配线间及老办公大楼、三个县局、城东局、城西局、高管所、新宿舍区等多个机构，汇接层与核心层之间通过光纤以千兆或百兆速率连接。新调度大楼各个楼层通过配置一台Cisco 3500系列交换机接入到核心层，至老办公大楼通过一条1000M光纤和100M光纤链路进行连接，互为备份，以保障主干的可靠运行。三个县局等多个机构都已铺设单模光纤到新大楼，各机构内部通过新增一台Cisco 3500系列交换机或利用已有交换机接入到核心层。 　　楼层交换机采用Cisco 3500系列，分布在新调度大楼的七个楼层的配线间，分别管理相应三个楼层的计算机接入。每台交换机固定配置两个1000M端口，通过两条千兆链路上连至两台Cisco 6509中心交换机，两条千兆链路设置为弹性链路工作模式，以提供上行链路的链路冗余。 　　湘潭电业局电力信息网络统一对外出口，出口包括与省公司和Internet的出口。在中心机房配置一台Cisco 3640路由器，与省公司通过电力系统内部微波通信线路或光纤线路互连，在出口处配置一台防火墙。在中心机房通过光纤专线与Internet互连，在出口处配置一台防火墙和身份认证网关，通过设置安全策略防止非法用户对内部网的访问，保护内部网络系统的安全。 　　接入层：指新调度大楼各楼层内部和各个分支机构内部网络系统。新调度大楼各楼层采用10/100M自适应接入到汇接层；各个分支机构内部网络系统基本不变。 　　光纤连通城域环网 　　城域网利用光纤通信环网把市区的各个单位，包括湘潭高管所、修试公司、电力安装公司、实业总公司（老局办公区）等连接起来，组成一个骨干带宽为1000M的城域环网，并以此环网作为各远程单位的接入节点。新、老办公区之间的两条光纤环线分别为6公里（经繁城变电站）和40公里（经湘潭高管所）。经繁城变电站的环线作为主通道，实现1000M连接；经湘潭高管所的环线作为备用通道，实现100M连接。两者由STP协议控制，互为备用（必要时可以人工控制）。环网内的其他单位，如湘潭高管所、修试公司，用单独的通道接入新办公楼机房（100M以太网），电力安装公司在桂花园变电站接入。老办公区机房目前放置一台Cisco 3500系列交换机作为城域环网的一个分节点。 　　数字微波连接广域网 　　广域网主要包括湘乡城域网的建设，以及湘潭县、湘乡、韶山三个远程节点的广域网建设。广域网地理示意图如图2所示 　　湘乡城域网主要连接湘乡局和湘乡高管所两个单位，采用100M以太网方式进行连接。湘乡城域网与企业网首先通过数字微波实现2M的连接（采用Cisco 2600系列路由器），近期将通过光纤实现100M连接；韶山、湘潭县两个节点则通过光纤实现100M的连接，分别接入城域环网的两个节点，同时，各保持一个E1通道作为备用连接。 　　π接入实现变电站联网 　　本项内容的建设分三步：第一步，连通全局五个220 kV变电站；第二步，连通城区光线环网范围内的五座110 kV变电站；第三步，连通其余的110 kV变电站。220 kV变电站的连接主要利用E1通道实现，泉塘变电站则利用光纤就近接入湘乡城域网（100M连接）；城区光线环网范围内的五座110 kV变电站则利用湘潭城域网备用通道的光纤实现100M的连接，具体做法是，把经过该变电站的光纤断开，π接入新增的交换机中，实现光纤的逻辑连通。这样，既保证了备用通道的畅通，又实现了变电站的联网，同时还节约了宝贵的E1通道资源；其余的100 kV变电站全部采用E1通道进行连接。 　　家庭园区网络建设包括开通100M通道至和平路、云塘、王世峰、韶山局四个小区，实现家庭办公，将来还将开通宿舍新区、马家岭和其他具备条件的居民小区。 　　重点防护保管理安全 　　网络管理选用强大的Cisco Works 2000网络应用软件。Cisco Works 2000 是全面的网络管理软件，它为简单地管理中小型企业网络或工作组提供功能强大的工具集。Cisco Works 2000 动态的状态、统计以及全面的配置信息等，可用于 Cisco 路由器、交换机、集线器和访问服务器。 　　Cisco Works 2000 基于 SNMP 业界标准，利用Cisco IOS 软件的强大嵌入式特性，在不同的异构型网络内提供全面的Cisco网络管理解决方案。 　　不同的安全措施和预防技术适用于对大小、预算要求不同的企业网络。在设计网络安全体系结构时，必须考虑多种因素，包括成本/利益分析、企业需求、安全策略以及需要保护的网络类型等。 　　一般而言，Intranet的安全性通过安全端口过滤功能得到支持，使个别的端口仅充许某些指定工作站接入。访问控制表（ACL）防止非法用户闯入网络。MD5路由鉴别还用于防止欺诈路由选择更新。但是，网络安全问题的危害越来越大，覆盖面越来越广，一次成功的核心袭击将破坏整个网络，因此，为保持整个网络的完整性，必须保护企业园区网的所有主要部分。 　　Cisco Catalyst 6500交换机将一套先进的安全模块集成在一起，除防火墙保护外，还在企业园区网提供其它保护，不但能防止内部网络遭受非法用户的侵入，还能检测并防止袭击。这些新型Cisco高级安全模块包括防火墙服务模块（FWSM）、安全套接层（SSL）、IP安全虚拟专用网（IPSec VPN）服务模块、网络分析模块（NAM）以及第二代入侵检测系统模块（IDSM-2）。 　　湘潭电业局信息网络是为全局各单位进行信息传递建立的专用计算机信息网络，提供了高速、安全、快捷的信息交换平台，为电力信息的数字化提供了强有力的支持。建成后的湘潭电业局电力信息网络在设计上具有以下特点： 　　无阻塞提供交换带宽 　　湘潭电业局电力信息网络要求支持包括用电管理信息系统、MIS系统、OA等在内的多种网络应用，需要为统一的信息流（数据、视频和音频）提供网络基础设施，需要考虑将来的发展趋势，骨干网的带宽因而十分重要。Fast Ethernet只有100Mbps速度，不能满足发展需求。千兆网提供10倍于快速以太网的性能而价格远远低于其10倍，千兆网保留802.3、以太网帧格式以及802.3的对象规格，从而使原有系统与应用能平滑地升级至千兆性能，同时原有相关设备能得以利用。 　　核心层采用Cisco 6509路由交换机，是一个高速的交换主干，其背板带宽高达256GB，包交换速度为210Mpps（可分别升级为720GB和400Mpps）。利用其高速的路由交换能力，提供线速的、无阻塞的IP、IPX以及Muticast的第三层交换能力，为核心层提供高效的网络性能，并为建立数据中心奠定了基础。 　　汇接层和接入层，采用Cisco 3548或Cisco 3524产品，提供了10.8 Gbps交换网和高达8.0 Mpps的转发速度，保证数据包到每个10BaseT/100BaseTX端口和千兆比特以太网端口的高性能转发，提供100M交换到桌面工作站的能力。 　　QoS质量保证 　　集成在Catalyst 6500系列交换机中的MSFC和PFC为企业主干环境提供了所需要的性能、可扩展性和Cisco IOS软件的智能服务。 　　PFC是CiscoAssure端到端QoS和基于策略的安全解决方案的有机组成部分。PFC可以识别出用户应用程序，如语音、企业资源规划（ERP）或组播等，并采用正确的优先级对数据流进行分类。PFC支持高级QoS特性，如数据包分类和标识、计划、贯彻策略以及避免拥塞，同时提供按照多种衡量标准如应用类型、用户、安全性、预设策略等对数据流进行仲裁的智能，以保证关键业务传输不受不重要应用如网上游戏的影响。除此以外，PFC还基于硬件的协议过滤，从而实现了智能广播控制，提高了资源利用率和网络性能。此外，PFC支持将具体的数据流重新定向到可选端口或端口组的能力，这些特性使Catalyst 6500成为业界能够以线速提供增强的智能网络服务的先进的交换机。 　　在Catalyst 6500家族交换机内部，具有可配置阈值的多个队列使用加权随机早期检测（WRED）、加权循环（WRR）以及服务类型/服务级别（ToS/CoS）映射机制，来确保当数据分组通过二层和三层边界时，QoS能够得到维护。高级策略制订功能可以支持通信流猝发以及以每客户和每应用为对象实施差别服务。此外，还可以使用资源保留协议（RSVP）优先级映射，以确保及时发送对时间敏感的内部网络应用。 　　强大的路由能力 　　第三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低效率、大时延所造成的网络瓶颈问题。当然，第三层交换技术并不是网络交换机与路由器的简单堆叠，而是将交换技术和路由技术智能化地、有机地结合起来，形成一个集成的、完整的解决方案。 　　Cisco通过采用高速 ASIC实现路由功能，使网络拥塞的可能性降到最小，大大超过了常规高端路由器的性能。Catalyst 6500交换机集成的MSFC2子模块，在交换虚拟LAN（VLAN）之间提供了经济有效的高性能多层交换与路由服务。MSFC2是一个结构紧凑的Cisco IOS路由器，在与PFC共同使用时，可以在一个单插槽解决方案中为Catalyst 6500系列提供智能多层交换服务。MSFC2在与PFC共同使用时，提供了15Mpps的IP、IPX和IP多播第三层交换吞吐率。对其它协议来说，第三层交换是通过软件快速交换提供的，速度约为每秒680，000个分组，而当配备一个交换矩阵模块、一个带多层交换特性卡（MSFC2）的Supervisor Engine 2，以及结构化线卡时，Catalyst 6500机箱能以30Mbps的速度执行集中化第二层和第三层交换。配备了分布式传送卡（DFC）后，每个结构化卡都能实现本地交换机210Mpps的总系统性能，从而可以在没有任何性能损失的情况下，部署高带宽交互和广播视频应用。 　　完备的安全保障 　　Cisco Works 2000对Cisco的Catalyst系列交换机提供端到端设备、VLAN、流量和策略管理。与Cisco Works 2000结合在一起，Cisco资源管理器(基于Web的管理工具)可提供自动的库存数据收集和软件应用，轻松地跟踪网络变化，观察设备的可用性，迅速隔离错误情况。Cisco Works 2000通过Cisco虚拟管理策略服务器（VMPS）与交换机上的智能、内置工具结合在一起，实现Cisco Works 2000向所有Cisco网络业务（包括QoS、多点广播、安全性、网络弹性和用户移动性）提供策略管理。 　　综合的安全性则是防止整个网络遭受袭击的有效方式。通过在Cisco Catalyst 6500系列中实施安全服务，将一套先进的安全模块结合在一起，客户将能够在交换机上部署综合的安全性，从而大大提高系统性能、可管理性和整个系统的性价比。 　　防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。 　　Cisco Catalyst 6500交换机的防火墙服务模块（FWSM）是一种高速的、集成化的服务模块，可以提供业界非常快的防火墙数据传输速率：5Gb的吞吐量（借助多个模块，带宽可高达20GB）以及100万个并发连接。FWSM采用了通过软件下载增强特性的网络处理器技术，能最大限度地适应未来需求。 　　图1 湖南省湘潭电业局信息网络解决方案 　　图2 湖南省湘潭电业局广域网地理示意图 　　网络推动业务应用 　　湘潭电业局数字电力信息网络项目实施后，为信息传递提供了信息高速公路，为信息化实施提供了平台。从应用反馈的情况来看，电力信息网络的建成，有力地推动了信息技术在各方面的应用。 　　提高了办公效率 覆盖湘潭电业局全局的数字信息网络的逐步建成，为实现全局办公自动化提供了可靠的平台。全局各县局、专业所、实业总公司及分公司，已经全部实现了分级的电子公文流转，大大提高了办事效率，提高了企业内部的服务质量和管理水平，实现了家庭办公。 　　提高了信息资源的有效利用 湘潭电业局电力信息网络的建成，提高了各类信息的有效利用，实现企业资源的共享，便于建立数据中心，把电力信息化提高到一个新水平，以适应国民经济的发展和企业本身管理的需要。 　　强化了各业务系统的合理利用 湘潭电业局电力信息网络的建成，强化了业务系统的应用效果。SCADA系统、MIS系统、OA系统、GIS系统、WWW内联网站、Internet及各专业系统的应用有了良好的工作平台，各类信息的传递得到了充分的技术保障，同时也对各类系统检查提供了条件。 　　强化了信息的安全管理 统一的解决方案，有利于强化对信息的安全和管理。网络规模的迅速扩大，一方面可显著地扩大用户通信范围及有效地提高资源利用率，另一方面，随着网络规模的不断扩大、用户数目的日益增多，网络出现故障的可能性也随之增大。在采用Cisco产品解决方案后，通过网络管理软件对网络进行远程监视和控制，可有效解决因网络规模扩大而引起的维护困难等问题，加强对网络设备的管理和维护工作，减少故障发生的概率。并且，一旦发生故障和出现问题，也能及时发现，并能采用有效的恢复手段，最终使网络性能达到最优，同时，减少网络的维护费用，保障信息安全。 　　为今后各类应用系统的推广提供了有力的条件。今后，其它各类系统，如配网GIS系统、微机防误系统、远程监控系统等的应用和推广有了便捷的信息高速公路。